チェック・ポイントは新たな調査で、サイバー犯罪者によって開発され、サービスとして販売されている「TrickGate」と呼ばれる暗号化ツールを明らかにした。
このクリプターは、Cerber マルウェアの拡散に使用された 2016 年から開発が進められてきましたが、Trickbot や Emotet (図 A ) など、いくつかの主要なマルウェア キャンペーンに使用されてきました。
図A
ジャンプ先:
- トリックゲートの大規模な配布
- TrickGate はどのようにして検出されなかったのでしょうか?
- TrickGateの機能
- TrickGate の脅威に対して何ができるでしょうか?
トリックゲートの大規模な配布
Check Point は過去 2 年間にわたって毎週 40 ~ 650 件の攻撃を監視し、TrickGate によって暗号化された最も一般的なマルウェア ファミリが情報窃取マルウェアである FormBook であることを発見しました。
TrickGateによって暗号化された脅威は、それを展開する脅威アクターによって異なる形式で配信されます。フィッシングメールや脆弱性の悪用によるサーバーやコンピューターへの侵入など、一般的な初期侵入経路が利用される可能性があり、暗号化されたファイルはアーカイブファイル(ZIP、7ZIP、RAR)やPDF、XLSX形式である可能性があります。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
TrickGate はなぜこれほど長い間発見されなかったのでしょうか?
セキュリティ研究者は、TrickGate コードの一部は多くのサイバー犯罪者によって広く使用される共有コードであると考えました。これは、開発者が他の既存のコードをコピーして変更することが多いマルウェア開発環境ではよくあることです。
Check Point社が突然そのコードの使用を検知しなくなったとき、複数の異なる攻撃キャンペーンへの展開が全く同時に停止していたことが判明しました。複数の脅威アクターが同時に休暇を取る可能性は低いため、研究者たちはさらに調査を進め、TrickGateを発見しました。
TrickGateの機能
研究者が分析したコードは過去 6 年間で変化していますが、主要な機能はすべてのサンプルに存在します。
APIハッシュ解決技術を用いて、Windows API文字列の名前をハッシュ値に変換する際に隠蔽します。さらに、暗号化されたファイル内に無関係なクリーンコードとデバッグ文字列を追加することで、アナリストに偽のフラグを立て、分析を困難にします。
TrickGateはペイロードの復号方法を常に変更するため、別のバージョンへの自動解凍は役に立ちません。ペイロードが復号されると、カーネルへの一連の直接呼び出しによって新しいプロセスに挿入されます。
TrickGate の脅威に対して何ができるでしょうか?
クリプター/パッカーの問題は長年存在しています。Check Pointはレポートの中で次のように述べています。「研究者はマルウェア本体に注目しがちで、パッカーのスタブ部分は放置されるため、パッカーはあまり注目されません。」
マルウェア検出の改善に取り組むリバース エンジニアは、マルウェア自体に焦点を当てることが多いです。これは、マルウェアは任意の暗号化ツールでパックまたは暗号化できるため、攻撃の最も悪質なコンポーネントである最終的なペイロードを検出することが重要だからです。
理想的には、パッカー/暗号化コードはマルウェアと同じものとして警告を発すべきですが、正当なパッカーも存在し、ブロックすべきではないため、これは困難な作業となります。
セキュリティソリューションは、悪意のあることが知られている暗号化ツールに対して、特定の検出機能を実装する必要があります。しかし、暗号化ツールが進化するたびに更新する必要があるため、これらの検出機能を維持するのは困難です。
暗号化ツールは、自動静的解析を無意味にします。解析ツールは暗号化ツールのコードしか解析できず、最終的なペイロードは解析できないためです。サンドボックスなど、動的解析と動作解析機能を備えたセキュリティソリューションの導入を強くお勧めします。これらのソリューションは、デパックから最終的なペイロードの配信、そして実行に至るまで、コードフロー全体を監視できます。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
